Cyberkriminelle nutzen gefälschte Sicherheitswarnungen und Werbeanzeigen, um das Gerät des Opfers mit Schadsoftware zu infizieren und Daten zu stehlen. So erkennst du solche Betrugsversuche und schützt dich vor ihnen.

Die Gefahr ist gut getarnt

Das Tückische an diesen Cyberattacken ist die Tatsache, dass sie durch das Anklicken von Ads im Suchergebnis von Google erscheinen, also mit „Anzeigen“ beworben werden, oder dass die Täter sie per E-Mail versenden.

Wenn du etwa YouTube-Videos schauen möchtest und in der Suchmaske „youtube“ eingibst, anstatt über die Eingabe von „youtube.com“ direkt auf die Webseite zu gelangen, könnte dir als Suchergebnis eine realistische Werbeanzeige oder eine Warnmeldung angezeigt werden. Diese führt dich aber nicht auf die offizielle Webseite von YouTube, sondern leitet dich auf eine bösartige Webseite um, die zum Beispiel damit wirbt, dass dein Computer bedroht und die Lösung nur einen Klick entfernt ist.

Bei durchschnittlich 5,6 Milliarden Google-Suchanfragen pro Tag reichen schon Trefferquoten von weniger als 1 %, damit ein solches „Malvertising“ – eine Wortzusammensetzung aus „Malware“ (Schadsoftware) und „Advertising“ (Werbung) – erfolgreich wird.

Malevertising kann auch per E-Mail erfolgen. So kursieren schon länger gefälschte E-Mails von der Fast-Food-Kette McDonalds, in denen mit einem Gutschein von 250 EUR geworben wurde. Klickst du auf den in der E-Mail enthaltenden Link, kommst du auf eine gefälschte Webseite und lädst dir Malware auf einen PC herunter.

Angst und Hoffnung zur Manipulation

Die Kriminellen hinter solchen Betrügereien arbeiten also mit zwei verschiedenen Arten der Manipulation: Angst und Hoffnung.

Angst: Niemand möchte ein Problem mit einer Software oder seinem Gerät und wünscht sich eine schnelle Lösung. Die produzierte Angst solcher Nachrichten verleitet viele, vorschnell auf Links zu klicken.

Hoffnung: Jeder möchte hingegen etwas gewinnen oder geschenkt bekommen und fühlt sich geschmeichelt, als Gewinner auserkoren worden zu sein.

So schützt du dich

Deshalb ist der erste Rat, um nicht Opfer dieser Betrugsmaschen zu werden, seine Emotionen beim Surfen im Internet zu bändigen. Das ist nicht immer einfach, aber wenn du es schaffst, die Dinge nüchtern zu betrachten, kannst du Betrugsversuche schnell erkennen.

Microsoft sendet zum Beispiel keine unaufgeforderten E-Mails und ruft auch nicht unaufgefordert an, um persönliche oder finanzielle Informationen anzufordern oder technische Unterstützung zur Reparatur deines Computers anzubieten.

Fehlermeldungen von Microsoft gibt es natürlich, aber sie erscheinen innerhalb des Betriebssystems und nicht auf Internetseiten. Außerdem enthalten sie niemals eine Telefonnummer oder fordern dich auf, für den Support zum Beispiel mit Bitcoins (beliebt bei Cyberkriminellen, weil anonym) zu bezahlen.

Lade Microsoft-Software zudem immer nur von der offiziellen Seite aus dem Store herunter. Software, die du von dir unbekannten Drittanbieterseiten herunterlädst, kann mit Malware verseucht sein.

Der integrierte Browser vom Microsoft (Microsoft Edge) blockiert bekannte Support-Betrugs-Webseiten mit dem Microsoft Defender SmartScreen. Außerdem bieten die meisten Antiviren-Programme diese Funktion an und können dich auch vor Phishing-Mails mit bösartigen Anhängen schützen.

Cyberkriminelle sind in vielen Fällen darauf aus, dass sie die durch Cyberattacken gestohlenen Zugangsdaten auch für andere deiner Konten verwenden können.

Denn häufig sind Online-Nutzer bequem und verwenden Passwörter für mehrere ihrer Konten. Das bedeutet, wenn Hacker erst einmal die Login-Daten für Facebook gestohlen haben (wo es schon häufiger zu Datendiebstählen gekommen ist), können sie damit auch gleich auf das Amazon-Konto oder andere Online-Shops zugreifen, wo innerhalb des Kontos sensible Daten (Kreditkarteninfos) gespeichert sein können.

Ein Passwort-Manager kann dir helfen, sichere Passwörter anzulegen und diese in einem virtuellen Tresor zu speichern. Du benötigst dann nur ein sogenanntes Master-Passwort, um von deinen Geräten Zugriff auf den Tresor zu erhalten.

Als Standard setzt sich bei vielen Webseiten inzwischen die Zwei-Faktor-Authentifizierung (2FA) durch. Das bedeutet, du musst zusätzlich zu deinen Zugangsdaten noch einen Code eingeben oder eine Sicherheitsfrage beantworten.

Wenn nicht verpflichtend, dann aktiviere diese Funktion, die wenigen Sekunden Mehraufwand beim Login sind die zusätzliche Sicherheit wert.